- •ВВЕДЕНИЕ
- •ГЛАВА 1. ОСНОВЫ LINUX
- •1.1. ПРОЦЕСС ЗАГРУЗКИ ОС. ЯДРО
- •1.1.1. Загрузчики Linux
- •1.1.2. Загрузчик GRUB2
- •Конфигурационные файлы
- •Выбор метки по умолчанию
- •Пароль загрузчика GRUB2
- •Установка загрузчика
- •1.1.3. Система инициализации
- •Принцип работы
- •Цели
- •Управление сервисами при использовании systemd
- •1.2. УЧЕТНЫЕ ЗАПИСИ ПОЛЬЗОВАТЕЛЕЙ
- •1.2.1. Введение в учетные записи Linux
- •1.2.2. Получение полномочий root
- •1.2.3. Управление учетными записями пользователей
- •Файлы /etc/passwd и /etc/shadow
- •Группы пользователей
- •1.2.4. Модули РАМ
- •Ограничиваем время входа в систему
- •Ограничение системных ресурсов с помощью РАМ
- •1.3. ПРАВА ДОСТУПА К ФАЙЛАМ И КАТАЛОГАМ
- •1.3.1. Общие положения
- •1.3.2. Смена владельца файла
- •1.3.3. Определение прав доступа
- •1.3.4. Специальные права доступа
- •1.3.5. Атрибуты файла
- •1.4. МОНТИРОВАНИЕ ФАЙЛОВЫХ СИСТЕМ
- •1.4.1. Монтируем файловые системы вручную
- •1.4.2. Имена устройств
- •1.4.3. Монтируем файловые системы при загрузке
- •1.4.4. Автоматическое монтирование файловых систем
- •1.4.5. Работа с журналом
- •1.4.6. Преимущества файловой системы ext4
- •Создание файла подкачки
- •Файлы с файловой системой
- •ГЛАВА 2. ЛОКАЛЬНЫЙ ВЗЛОМ - ЛОМАЕМ ПАРОЛЬ ROOT
- •2.1. ИСПОЛЬЗУЕМ ПОДМЕНУ ОБОЛОЧКИ
- •2.2. ИСПОЛЬЗУЕМ ЗАГРУЗОЧНЫЙ ДИСК
- •ГЛАВА 3. ПОЛУЧАЕМ ПРАВА ROOT НА VDS
- •3.1. СБОР ИНФОРМАЦИИ
- •3.2. КРИТИЧЕСКИЕ ДАННЫЕ
- •3.3. ФЛАГИ SUID/SGUID
- •3.4. АНАЛИЗ ИСТОРИИ КОМАНД
- •3.5. ВОЗМОЖНОСТИ LINUX
- •3.6. ПЛАНИРОВЩИК CRON
- •3.8. БРУТФОРС SSH
- •3.8.1. Использование Patator
- •3.8.2. Инструмент Hydra
- •3.8.3. Инструмент Medusa
- •3.8.4. Metasploit
- •ГЛАВА 4. УЯЗВИМОСТИ ECRYPTFS
- •4.1. ВЫБОР СРЕДСТВ ШИФРОВАНИЯ В LINUX
- •4.2. АТАКА НА ECRYPTFS: ПОЛУЧАЕМ ПРИВИЛЕГИИ ROOT
- •ГЛАВА 5. ВЗЛОМ ПОПУЛЯРНЫХ СЕТЕВЫХ СЕРВИСОВ
- •5.1. УЯЗВИМОСТЬ В APACHE
- •5.1.1. Общее описание уязвимости
- •Пример 2
- •5.2. ВЗЛОМ MYSQL
- •5.2.1. SQL-инъекции
- •5.2.2. Поиск жертвы
- •5.2.3. Брутфорс
- •5.2.4. Что делать дальше?
- •5.3. ВЗЛОМ WORDPRESS
- •ГЛАВА 6. СБОР ИНФОРМАЦИИ
- •6.1. ОБЩЕДОСТУПНЫЕ САЙТЫ
- •6.2. ПОЛУЧЕНИЕ ИНФОРМАЦИИ О ДОМЕНЕ
- •6.3. КОМАНДА HOST
- •6.6. КОМАНДА TRACEROUTE
- •ГЛАВА 7. ЧТО ТАКОЕ KALI LINUX И КАК ЕГО ИСПОЛЬЗОВАТЬ ДЛЯ ВЗЛОМА
- •7.1. ВКРАТЦЕ О KALI
- •7.2. ГДЕ СКАЧАТЬ И КАК УСТАНОВИТЬ KALI LINUX
- •7.3. ОБСЛУЖИВАНИЕ СИСТЕМЫ
- •7.3.1. Обслуживание источников пакетов
- •7.3.3. Регулярная очистка системы
- •8.1. WPSCAN
- •8.2. NMAP
- •8.3. LYNIS
- •8.4. AIRCRACK-NG
- •8.5. HYDRA
- •8.6. WIRESHARK
- •8.7. METASPLOIT FRAMEWORK
- •8.8. SKIPFISH
- •8.9. SQLMAP
- •8.10. ВЗЛОМ ПАРОЛЯ WINDOWS. JOHN THE RIPPER
- •8.12. AUTOPSY FORENSIC BROWSER: ПРОФЕССИОНАЛЬНЫЙ ИНСТРУМЕНТ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ
- •8.13. NIKTO
- •8.14. SNORT
- •8.15. AIRFLOOD
- •8.16. APKTOOL
- •8.17. NESSUS - ЛУЧШИЙ СКАНЕР УЯЗВИМОСТЕЙ
- •ГЛАВА 9. ИСПОЛЬЗОВАНИЕ METASPLOIT ДЛЯ ВЗЛОМА
- •9.1. ЧТО ТАКОЕ METASPLOIT
- •9.2. СТРУКТУРА ФРЕЙМВОРКА
- •9.3. БАЗОВАЯ ТЕРМИНОЛОГИЯ
- •9.4. КОНФИГУРАЦИИ ФРЕЙМВОРКА И ОСНОВНЫЕ КОМАНДЫ
- •9.6. ПЕРВЫЙ ЗАПУСК METASPLOIT
- •9.7.9. Команда irb
- •9.8. ПРАКТИЧЕСКИЙ ПРИМЕР 1: ВЗЛАМЫВАЕМ СТАРЕНЬКИЙ СЕРВЕР WINDOWS 2008 С ПОМОЩЬЮ ЭКСПЛОИТА АНБ
- •10.1. КТО И ЗАЧЕМ ВЗЛАМЫВАЕТ АККАУНТЫ
- •10.2. СБОР ИНФОРМАЦИИ
- •10.3. МЕТОДЫ ВЗЛОМА
- •10.3.1. Взлом электронной почты
- •10.3.3. Перебор пароля
- •10.3.4. Фишинг или фейковая страничка. Очень подробное руководство
- •10.3.5. Клавиатурный шпион
- •10.3.6. Подмена DNS
- •10.4. КАК УБЕРЕЧЬСЯ ОТ ВЗЛОМА
- •ГЛАВА 11. АНОНИМНОСТЬ В ИНТЕРНЕТЕ
- •11.1. ЧАСТИЧНАЯ АНОНИМНОСТЬ
- •11.2. ЦЕПОЧКИ ПРОКСИ
- •11.3. ПРОЕКТ TOR
- •Фиксирование входных узлов
- •Исключение подозрительных узлов
- •Запрещаем использовать комп в качестве выходного узла
- •11.4. VPN ДЛЯ LINUX
- •11.5. ЧТО ТАКОЕ DARKNET?
- •11.6. НА ПУТИ К ПОЛНОЙ АНОНИМНОСТИ
- •11.7. ЗАМЕТАЕМ СЛЕДЫ
- •11.7.1. Приложения для безопасного удаления данных с жестких дисков
- •11.7.2. Удаление инфы с SSD
- •11.7.3. Запутываем следы
- •12.1. ПРИБОРЫ И МАТЕРИАЛЫ
- •12.2. ВСКРЫВАЕМ АРК
- •12.3. ВНОСИМ ИЗМЕНЕНИЯ В ПРОГРАММУ
- •12.4. УСТАНОВКА ANDROID STUDIO В LINUX
- •13.1. ВЗЛОМ FTP
- •13.2. ПРОВЕРКА ПОРТОВ
- •13.3. СКАНИРОВАНИЕ MYSQL
- •13.4. ТСР-СЕРВЕР НА PYTHON
- •13.5. КАК ЗАПУСКАТЬ СКРИПТЫ ИЗ ЭТОЙ ГЛАВЫ?
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.18. Выбор сетевого интерфейса
Рис. 8.19. Захват трафика
8.12. Autopsy Forensic Browser: профессиональный инструмент правоохранительных органов
Autopsy является цифровым инструментом судебной экспертизы для рас следования того, что произошло на твоем компьютере. В мирных целях его ,тоже можно использовать, например, для восстановления изображений с SD-карты.
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
|
C |
|
E |
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
|
- |
|
|
|
|
|
d |
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
|
|
Click |
|
|
Данныйm |
инструмент используется сотрудниками правоохранительных оргаClick |
|
|
|
|
|
|
m |
||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
o |
w |
|
|
|
|
|
|
|
|
o |
|
|||
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|||
w |
|
|
|
|
|
|
|
|
.c |
w |
|
|
|
|
|
|
|
.c |
|
||||
|
|
. |
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
||||||
|
|
|
p |
|
|
|
|
нов. Так что ты просто обязан с ним ознакомиться - если ты попадешься на |
|
|
|
g |
|
|
|
||||||||
|
|
|
|
|
|
|
g |
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
df |
|
|
n |
e |
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
чем-то незаконном, то с большей долей вероятностью против тебя будут ис пользовать этот инструмент.
Autopsy был создан быть самодостаточным инструментом с модулями, кото рые поставляются из коробки и доступны из сторонних источников.
Autopsy - имеет расширяемую инфраструктуру отчетности, которая позво ляет создавать исследователям дополнительные типы отчетов. Пол умолча нию доступны отчеты в файлах HTML, XLS и Body. Каждый настраивается
взависимости от информации, которую нужно включить в отчет:
•HTML и Excel - НТМL и Excel отчеты предназначены для полностью упакованных и разделенных отчетов. Они могут включать ссылки на фай лы с тэгами, а также вставленные комментарии и пометки исследовате лей, а также другие автоматические поиски, которые выполняет Autopsy во время анализа. Сюда относятся закладки, веб история, недавние доку менты, встреченные ключевые слова, встреченные совпадения с хэшами, установленные программы, подключенные устройства, кукиз, загрузки и поисковые запросы
•Файл Body - в основном для использования с анализом активности по времени, этот файл будет включать временные метки МАС (послед няя модификация или запись, доступ или изменение) для каждого фай ла в формате ХМL для импорта внешними инструментами, такими как mactime в Sleuth Кit.
Следователи могут сгенерировать более чем один отчет за раз, а также ре дактировать существующие или создавать новые модули для настройки по ведения под их специфичные потребности.
Возможности autopsy:
•Многопользовательские кейсы - работать над исследованием системы можно сообща, Autopsy поддерживает такую возможность.
•Анализ активности по времени - показ системных событий в графиче ском интерфейсе для помощи в идентификации активности.
•Поиск по ключевым словам - извлечение текста и модули индексного поиска дают вам возможность найти файлы, которые упоминают специфи-
ll:DI------------------------------ |
.---------------------- --- - |
. ------ --- -- - -- - -- - - - -- |
_, |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
ческие термины и осуществлять поиск по паттернам регулярных выраw Click |
to |
|
|
|
|
|
|||||
|
|
|
|
|
m |
||||||
|
|
|
|
|
|
||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
жений. |
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
•Веб-артефакты - извлечение веб активности из популярных браузеров для помощи в идентификации пользовательской активности.
•Анализ реестра - используется RegRipper для идентификации доступа к последним документам и USB устройствам.
•Анализ файлов LNKопределяет ярлыки и открытые документы.
•Анализ электронной почты - разбор сообщений в формате МВОХ, та ким как ThunderЬird.
•EXIF- извлекает информацию о геолокации и камере из файлов JPEG.
•Сортировка по типам файлов - группировка файлов по их типу для поиска всех изображений или документов.
•Воспроизведение медиа - просматривай видео и изображений в прило жении, внешний просмотрщик не требуется.
•Просмотр миниатюр - отображает миниатюры изображений для помо щи в быстром обзоре картинок.
•Надежный анализ файловой системы - поддержка популярных файло вых систем, включая NTFS, FAТ12/FAТ16/FAT32/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2/Ext3/Ext4, Yaffs2 и UFS из The Sleuth Kit.
•Фильтрация файлов по хешам - отфильтровывание хорошо известных файлов с использованием NSRL и пометка плохих файлов, используя пользовательские наборе хешей в форматах HashKeeper, md5sum и EnCase.
•Тэги - помечай файлы тэгами, с произвольными именами тэгов, такими как "закладки", "подозрительные" и добавляйте комментарии.
•Извлечение строк Unicode - извлекай строки из не распределенных об ластей и неизвестных типов файлов на многих языках (арабском, китай ском, японском и т. д.).
•Определение типа файла на основе сигнатур и выявление несоот ветствия расширения файла его содержимому.
•Модуль интересных файлов пометит файлы и папки, основываясь на имени и пути.
•Поддержка Android- извлечение данных из SMS, журнала звонков, кон-
•тактов, Tango, Words with Fгiends и других.
·--··-···························"···········································-····-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
|||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
||
P |
|
|
|
|
|
NOW! |
o |
|
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
|
||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|
||||
|
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|||
|
|
p |
|
|
|
|
|
|
|
в |
||
|
|
|
df |
|
|
n |
e |
|
|
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
ввести
sudo autopsy
http://localhost:9999/autopsy
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.20. Программа запущена
https:/lwww.autopsy.com/download/ |
|
• |
||
|
|
|||
ID·----- |
·------------------- |
·----------------- |
· |
------------------------------------· |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
||
|
D |
|
|
|
|
|
|
|
i |
r |
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
m |
||||||
|
|
|
|
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
. |
|
|
|
|
|
.c |
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
• • ' |
' |
J1а11а х. Oiiюp .1 '111111'\ lllll"l()"ll'IIIOI\ k:ali
·: . . 8
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
J,illll'\ |
|
BUY |
|
|
|||||||
|
|
|
|
|
to |
|
|
|
|
|
|
0 |
w8 'Click• ' |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
|
-x cha |
|
|
|
|
f- |
• |
. |
. |
|
|
|
. |
с i· =-
'WARt-tfN(; 'Your ))[UW!i,,rf'l'\'NnHJ.ЬMJ4Wj;-5:trфt |
Ьl |
|
|
You do 001 need Java 5ct1pt to ... |
Autopsy and lt Js recoaunended lhot 11 Ьо turaed olffor securtty ....... |
,._ |
hua..1/м::sl!rмtмtro t
Рис. 8.21. Autopsy 2 для Linux
Установи ее как обычное прилож ние. Далее алгоритм будет таким:
1.На "вход" программе нужно подать или локальный компьютер, то есть установить программу на исследуемом компьютере или же образ жестко го диска компьютера.
2.Программа понимает образы дисков VDI (используются в Hyper-V). Если у тебя виртуальная машина сохраняет образы в другом формате, напри мер, в VМDK (VМWare), сначала нужно преобразовать образ в формат
RAW, а затем "скормить" программе. Для этого можно использовать команду (разумеется, сначала нужно установить qemu-img): qemu-img
convert vmdk original.vmdk -т 16 -р -О raw converted.raw
3.Если нужно проанализировать физический компьютер, то можно ис пользовать любой инструмент, позволяющий создать физический образ диска, например, https://www.ubackup.com/clone/hard-disk-raw-copy-4348. html. Если ситуация позволяет, можно установить Autopsy прямо на фи зический компьютер и работать с ним, не создавая образ диска. Однако ты должен понимать, что на компьютере происходят какие-то процессы и иногда правильнее снять образ диска, чтобы зафиксировать его во вре мени. Хорошая идея - отключить анализируемый компьютер от сети (от
•локальной и от Интернета), если нет возможности сделать образ диска.
··················································································-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Welcome |
х |
1 Newcase
а
Open Recent Qise
OPEN I EXТENSl8LE I FASТ
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.22. Программа Autopsy для Windows
однопользовательский (Single-user) многопользовательский (Multi-user).
.- New Case lnformation |
Х |
:V-est
Рис. 8.23. Создание нового дела
•
1111---- --- - --- ·-----------·----.--------..--·..-·..---·---.--·.- - -- ·-·- ..----- -·-- --..
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||||||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||||||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|||||
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||||||
P |
|
|
|
|
|
|
NOW! |
o |
|
|
|
P |
|
|
|
|
|
|
NOW! |
o |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
|
|
Click |
|
|
Появитсяm |
окно с выбором источника данных. Если нужно исследовать образClick |
|
|
|
|
|
|
m |
|||||||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
||||||||||||||||||||
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||||||||
w |
. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
.c |
|
|||||
|
|
|
|
|
|
диска, выбери первый вариант, нас же сейчас интересует исследование ло |
|
|
|
|
|
|
||||||||||||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
||
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||||||||
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
кального диска, поэтому выбери второй вариант (Local Disk). Нажми кнопку |
|
|
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
Next |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
.М. Add Data Source |
|
х |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
...... |
|
|
|
Selet.1:TYf!olO.ta To |
|
|
|
|
|
|
|
|
|
|
|
|
|
LSdect.YypeofO.ta
SourceToAdd
2.Seec.t O.ta Sou'(t!
З. Con(vкl!: I tМodtAn
◄.Add O.ta Scu'a.
Рис. 8.24. Выбор источника данных
На следующей странице будет возможность выбора исследуемого диска. Если не все диски отображаются в списке, закрой программу и запусти ее с правами администратора (рис. 8.25). Опция Make а VНD image ofthe drive while it is being analyzed (на рис. 8.24 она спрятана за окном выбора диска, но она там есть!) позволяет создать образ диска перед началом его анализа. Это на случай, если есть подозрения, что данные могут измениться в про цессе анализа. Правильнее, конечно, сделать образ диска, если на компью тере хватает места или есть внешний носитель, куда ты разместишь образ диска. Ведь его размер будет равен размеру используемого пространства. Например, если есть диск размером 500 Гб, но занято всего 120 Гб, то раз мер образа будет равен 120 Гб.
Нажатие кнопки Next приводит к выбору модулей программы. Включение того или иного модуля добавляет нужный функционал. Для самого полного анализа выбери все модули, но этим ты замедлишь процесс. Описание моду
лей приведено в таблице 8.2.
•
. - - ---- --- --- -- . ---- . - -- . - -- ---- - --- ------···· ··-....................................
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
:\а1-:11111 на l.i1111, |
|||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
||
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.25. Выбор локш ьного диска
Таблица 8.2. Описание модулей Autopsy
Название модуля |
|
Назначение |
|
|
|
|
|
|
|
|
|
|
Модуль |
позволяет |
извлечь активность |
|
|
|
пользователя, веб-запросы, загрузки, за |
|
|
||
|
кладки браузера; файлы cookie и т.д. |
|
|
||
RecentActivityModule |
Анализирует реестр |
- установленные и |
|
|
|
|
запускаемые программы, данные об под |
|
|
||
|
ключенных USB устройствах, извлекает |
|
|
||
|
данные из корзины |
|
|
|
|
|
|
|
|
||
|
Вычисляет хэш-значения MD5 для фай |
|
|
||
|
ла, а потом ищет их в базе данных, чтобы |
|
|
||
|
определить, является ли файл известным. |
|
|
||
|
Для его работы необходимо добавить базу |
|
|
||
Hash Lookup |
хэшей. |
Поддерживается огромная база |
|
|
|
NIST NSRL, которая содержит хэши из |
|
|
|||
|
|
|
|||
|
вестных файлов Windows/PC,Android, iOS. |
|
|
||
|
Отметим, что использование NIST NSRL |
|
|
||
|
ускоряет исследования, поскольку можно |
|
|
||
|
игнорировать известные файлы |
|
|
||
|
|
·' |
|||
-- - - - - - - - - - - - - - - - - . - - .. - - - .. - - .. - - - - - - - . - - - - . - .. - . - . - .. - . - . - . - - - . - - . - - - . - - . - - - - - - |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|||
|
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||
|
|
|
p |
|
|
|
|
|
|
|
||
|
Определяет файлы на основе их внутрен |
df |
|
|
n |
e |
|
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
них подписей и не полагается на расши |
|
|
|
|
|
|
|
|
|
||
|
рение файлов. Autopsy использует библи |
|
|
|
|
|
|
|
|
|
||
File Туре Identification |
отеку Tika, (обнаруживает и извлекает |
|
|
|
|
|
|
|
|
|
||
|
метаданные и текст из более чем тысячи |
|
|
|
|
|
|
|
|
|
||
|
различных типов файлов). Может быть |
|
|
|
|
|
|
|
|
|
||
|
гибко настроено пользователем |
|
|
|
|
|
|
|
|
|
|
|
Embedded File Extraction
EXIFParser
1 Extension Mismatch Detector
Модуль открывает ZIP, RAR, другие фор маты архивов, Doc, Docx, РРТ, РРТХ, XLS и XLSX и отправляет извлеченные файлы из этих архивов для анализа. В случае за шифрованных архивов, при наличии паро ля, позволяет расшифровать эти архивы
Извлекает информацию EXIF (служебную информацию) из полученных изображе ний. Позволяет определить географиче ские координаты места, где бьm сделан снимок, когда был сделан снимок, типа (модель) камеры, используемой для съемки изображения и ее некоторые настройки
Используется для поиска несоответствий расширений. Этот модуль может выдавать множество ложных срабатываний, т.к. на
пример многие файлы переименовываются |
||||||||
в |
|
.tmp. |
|
или |
|
1bak |
|
• |
|
1 |
1 |
11 |
|
1 |
|
11 |
|
Можно уменьшить количество ложных срабатываний, сосредоточившись на ти пах файлов. По умолчанию используются только мультимедиа и исполняемые ф йлы
•. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - --1111
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
I
Keyword Search Module
|
|
|
hang |
e |
|
|
|
|
|
C |
|
E |
|
||
|
X |
|
|
|
|
||
|
- |
|
|
|
|
d |
|
|
F |
|
|
|
|
|
t |
|
D |
|
|
|
|
|
i |
|
|
|
|
|
|
r |
|
P |
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|||
|
|
|
|
BUY |
|
||
|
|
|
to |
|
|
|
|
w Click |
|
|
|
m |
|||
|
|
|
|
||||
w |
|
|
|
|
|
|
Напоминает поиск по ключевым словам в df-x chan |
o |
||
w |
|
|
|
. |
|
.c |
|
|
p |
g |
|
|
|
|
e |
DLP системах. Извлекает текст из поддер |
|
|
|
живаемых форматов файлов, таких как тек |
|
|
|
стовый формат txt, документы MS Office, |
|
|
|
РDF-файлы, электронная почта и многие |
|
|
|
другие. Существует также параметр для |
|
|
|
включения оптического распознавания |
|
|
|
символов (OCR). С его помощью текст |
|
|
|
может быть извлечен из поддерживаемых |
|
|
|
типов изображений. При включении этой |
|
|
|
функции поиск займет больше времени и |
|
|
|
результаты не являются совершенными |
|
|
|
|
Модуль идентифицирует файлы формата |
|
|
МВОХ, EML и PST на основе подписей |
|
Email Parser Module |
файлов. Добавляет вложения в качестве до |
|
|
черних элементов сообщений, группирует |
|
|
сообщения в потоки |
|
|
|
|
|
Помечает файлы и тома, которые являются |
|
|
зашифрованными или могут быть такими: |
|
|
Модуль ищетследующие типы шифрования: |
|
|
Любой файл, который имеет энтропию, |
|
|
равную или превышающую порог в нa- |
|
Encryption detection module |
стройках модуля |
|
|
Защищенные паролем файлы Office, РDF |
|
|
файлы и базы данных Access: |
|
|
Разделы BitLocker |
|
|
SQLCipher |
|
|
VeraCrypt |
|
|
|
|
|
Модуль поиска файлов и каталогов, кото |
|
|
рые соответствуют набору заданных пра |
|
· lnteresting Files |
вил (например, имя+ тип файла+ размер). |
|
Это может быть полезно, если всегда нуж |
||
|
но проверить, находятся ли файлы с дан |
|
|
ным именем в источнике данных, или если |
|
|
тебе интересны файлы определенного типа |
|
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - |
- - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - -- - - |
|
|
.' |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Virtual Machine Extractor
Plaso Module
AndroidAnalyzer
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
Анализирует виртуальные машины, пай- |
|
|
|
|
g |
|
|
|||
|
|
p |
|
|
|
|
|
|
||
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
денные в источнике данных. Обнаружива- |
|
|
|
|
|
|
|
|
||
ет файлы vmdk и vhd и делает локальную |
|
|
|
|
|
|
|
|
||
копию их, не требует конфигурации |
|
|
|
|
|
|
|
|
|
|
Использует инструмент Placo с открытым исходным кодом для анализа различных журналов и типов файлов для извлечения временных меток, визуализирует данные в виде гистограммы
Позволяет анализировать SQLite и другие файлы с устройства Android. Модуль должен быть способен извлекать следующие данные: Текстовые сообщения (SMS / MMS), журнал вызовов, контакты, GPS из браузера и Google MapsGPS из кэша
_. Add Data Source |
х |
1, Sele,ctTypeofDataSotsceTo
2.DataSo!xcl!
3.Conflou,eingatМodalos
◄, Add t., Source
0но,/,t..Ь.,,
0Pitмi,Type!don,btim--
0.,-.......,1.mo.tюa
0Emt,eddedмl,Extпк""
0 |
Ke,--dSea<'t' |
0 |
-·..... |
10 |
&,q,i,lmQe!ectim |
I_ |
|
- |
|
-- |
---1 |
|
|
• |
----- |
- - |
|
|
:to,:;;,-;:;;;;::;;;;,;;;;
f'-......-i t,,..,,_,,\1
|
Рис 8.26. Выбор типа модулей |
|
• |
|
- -ID |
. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -.-..................................... |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
|||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||||
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
|
NOW! |
o |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
BUY |
|
:\а1,11111 11а 1 11111\ |
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
||||||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
|
|
Click |
|
|
Нажмиm |
кнопку |
Next - отобразится процесс добавления источника. Этот проClick |
|
|
|
|
|
|
m |
|||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
.c |
|
|
w |
|
|
|
|
|
|
|
.c |
|
||||||
|
|
. |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|||||||
|
|
|
p |
|
|
|
|
цесс может быть довольно длительным, все зависит от размера добавляемых |
|
|
|
g |
|
|
|
||||||||||||
|
|
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|||||||
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
данных (рис. 8.27). В общем, можно пойти выпить чашку кофе и в некоторых |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
случаях - не одну. Далее вы получите сообщение о том, что файлы добав |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
лены и проанализированы. Не смотря на то, что откроется основное окно |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
программы, модули программы все еще работают - анализируют файлы. О |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
ходе процесса информирует индикатор в нижнем правом углу окна программы. |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Add Datз Souri:e |
х |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
==......------- . cc=c:e.:==---------------------- |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
AddO.t.5ow'ce |
|
|
|
|
|
|
|
|
|
|
|
|
|
LtT)'P!ofDeЬISat.- To
Add
2. |
Si!lкtO.t.a 5cU'(2 |
Pr«rDng dotll scua: .-daddingrt1Dalcol ct.t.Ь.e:. 8\illysisl\llil .st.Yt ttis flnlsihes. |
||
з. |
Conflozt! lng,!stМсмU!s |
|||
|
|
|||
4. |
AddO.taSource |
!-,:::,.__,_,. oa/f".......,;, МSP..,LSWe!<,ЬЗdSЬЬwe/At:.J |
||
|
|
|||
|
|
----.,.--:- |
- -- |
.,.,_pnxe5' ff\O)' $О1'11еtlme for1-ge dвt. SOU'(2t.
|
-=· |
|
Рис. 8.27. Добавление источника данных |
||||||||||||
|
|
9-:: __,-., |
____, · a.. |
|
i -·.....,-- |
||||||||||
C- |
J,ew |
Took Wildow blt,/f)• ------•- |
|
|
|
|
|
||||||||
Jlтnt- •11.0 |
|
|
|
|
|
|
|
|
|||||||
|
|
.. |
|
|
|
|
|
|
|
|
|
- - |
.;.. |
||
|
|
.,_ |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
--- |
|||||||
|
|
► |
|
|
1 |
|
|
|
|
- |
|
|
|
|
|
:.. |
!!1!11 |
|
|
|
р--... |
|
|
|
|
|
|||||
|
. |
|
.'-- |
|
|
|
|
|
|
|
|
|
|
||
|
. |
°""-'.... |
|
|
|
|
|
|
|
|
|
||||
|
..,........ |
|
|
|
|
|
|
|
|
|
|
|
|||
|
1 ii4.., ,_ |
|
|
|
|
|
|
|
|
||||||
е |
& |
,._ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
■ot- |
|
|
|
|
|
|
|
|
||||||
|
|
|
•- Qll!I |
|
|
|
|
|
|
|
|
||||
|
|
|
ф |
|
..... (!:» |
|
|
|
|
|
|
|
|
||
|
|
--(IJ |
|
|
|
|
|
|
|
|
|||||
|
|
|
1-,-.....,.{О |
|
|
|
|
|
|
|
|
||||
|
|
|
1 МO_,.(UI |
• |
|
|
|
|
|
|
|
||||
|
|
·- |
|
|
|
|
|
|
|
|
|
||||
|
|
, ..... |
ltll |
|
|
|
|
|
|
|
|
||||
|
li,,Ч. |
|
|
|
|
|
|
|
|
|
|
||||
|
|
* |
|
|
- |
|
|
|
|
|
|
|
|
||
-- |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
fj,!,,5,фui.111 -IG) |
|
|
|
|
|
|
|
·--S}\ S Ф,.......r.- Ji)
ar
- " х
Рис. 8.28. Источник данных анш,изируется |
• |
|
|
---------------------------------------------------------------------------------- |
· |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
|
Поm |
мере анализа в дерево слева будут добавляться новые узлы. Сделано wэтоClick |
|
|
|
|
|
|
m |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|||||||||||||
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
|
|
|
|
так намеренно: чтобы пока работают другие модули, ты уже мог работать с |
|
|
|
g |
|
|
|
||||||||
|
|
|
|
|
|
g |
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
данными, которые предоставили отработавшие модули.
После отработки модулей видим следующую картину: слева дерево подката логов - справа детальное отражение. Теперь можем приступать к анализу со держимого. Например, в ветке Exracted Content и блоке Operation System Information видим данные домена, имя хоста, версии ОС и т.д.
Jj. Tбt-Autops,y,4.17.0 |
- " |
х |
lf,-IIDot.t-
' -=--т |
|
|
|||
,,t4 |
,, |
|
|
||
: |
: lii-4 ., ,._ |
|
|||
i |
=- = |
|
|
||
-iв- |
|
|
|
||
i -Enкacic. |
|
||||
j i |
>-'!'> :s.S11 |
|
|||
|
|
... |
|
|
|
: ; -,=:-- |
-:-{с |
||||
i(,-lf lln(U, ) |
|
||||
t _ 1 |
::.= |
|
|||
i i |
ЧfU\110,,.Ь.t.:r.chodtJ:IJ |
||||
! \ |
!.- f"Ne--.Ь (11) |
|
|||
! i , |
::=:: |
|
|||
i |
: |
t.. , |
|
-=(\j |
|
|
|
• Owe |
d!tl> |
|
|
; |
- |
|
|
||
: |
! 3 |
.........._.45 |
dlt:/J |
||
l |
: |
i· |
= е:---<11 |
||
! ;..,..'\"'""'-'Н11 |
|
|
|||
i |
*-.;- |
|
\ r-sнw....
·-•
if;•т•
•-!\..
1 |
|
}-"'2; |
|
|
|
J- --- ------- |
------ |
- t |
Q,.,
Рис. 8.29. Имя компьютера и операционная система
Блок Recent Documents содержит список недавних документов, с которыми работал пользователь - наверняка это и есть самые актуальные данные на этом компьютере (рис. 8.30). Среди последних документов может вызвать интерес файл с именем пароли.txt. Загляни, в нем точно будет что-то полез-
. ное. Недалекий пользователь хранил пароли в текстовом файле!
Блок Deleted Files позволяет просматривать удаленные файлы (рис. 8.31). Обрати внимание: это не корзина. Файлы в корзине находятся в ветке Recycle Bin, а удаленные файлы - в Deleted Files. Количество удаленных файлов может быть довольно большим. Попытайся их удалить. С жестким диском у тебя должно все получиться, с SSD - далеко не всегда. Если в ка
честве источника данных указать флешку, можно попытаться восстановить |
||
• |
|
|
файлы с нее. |
|
|
. -- . --- -. - -.... -. - - -............. |
- ...- ....... |
- - .. - - . - - - - ... - .. - - - - - --.. - - . - - - - . - - .... |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|||
|
|
|
X |
|
|
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
|
|
||
|
F |
|
|
|
|
|
|
t |
|
||||
|
D |
|
|
|
|
|
|
|
|
i |
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
\.а1,11111 11а l.i1111\ |
|||||
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
Click |
|
|
|
С.м View Тоо15 Wlndow неiр |
|||||||
w |
|
|
|
|
|
|
T •AI.Jroo,sy◄.17.0 |
||||||
w |
|
|
|
|
|
|
|
|
|
|
o |
m |
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
|
p |
|
|
|
|
g |
|
|
|
||
|
|
|
|
df |
|
|
n |
e |
|
|
|
||
|
|
|
|
|
-xcha |
|
|
|
|
|
|
Mteп•A1Aopsy4.17.0
С.. View Jook Window 1-\dp
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
CJ w,х |
|
to |
|
|
|
|
|
|||
w Click |
|
|
|
|
|
|
||||
|
|
|
|
|
o |
m |
||||
|
w |
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
|
=-•NJ'iOl<Ot:.'IIIJU: |
|
" ".... :Ol,:Sll;l'<,J( |
\,A.:lo-,o.\u'fff\<lf4'•W'hl!• |
Hl·•l-1.e: |
C."'lllt->'.)flof...;.lfl")o•!.t"' |
f'П ll -..Vl'GC |
(" ';!.lн,'i::.... \ai,.-1•• -... 1"'1,11" « -,. |
l'i::F-;/'J! i'U:M'\9( |
ОУ.lо.<\1.н,11: -1•• -. .--.. !о.,.. |
J,X,,{4-ll>t•P-.;ММf>I( |
r.,i,u,,o,,, --;.t,.-1-• .ё'Sl. <.IIC,.«-., ;\'!!".... |
?XP«.-!"J{'lj:?tЩIIJIU( |
(..1Uoo,s.,._lo.,,;,..- 11,o'l I•• -• ..-., .>1!: |
l'DЧ,..,/')1!9-:l:\ |
C:.'\I.Joo,J\'--.: .-1•• -•11,\\;1!<'1•• ... |
-)llo•tJ:$)м;t,: |
|
f'ltll,$t:14- ,._,._,;,_ |
|
l!-Пlct,-.l'ta$1:14 ,..,,,,,..r,,,...,v |
|
"> |
Рис. 8.30. Список недавних документов
CJ-
... |
- |
- |
|
1 &ame |
mQ..Pl'lyslt r.)SOfl,'Pf ((a.326e4-e1a.4n 1 1e1.e1:.e 1Rt.W1тimef1011_C'onnel:liol15.P"NX f' |
Туре |
Fk |
,.. |
appll:. Rt-Шam |
= |
<
Рис. 8.31. Удш,енные файлы
Как показано, файл, хотя и удален, мы все еще можем просмотреть его содер
жимое. Для восстановления файла (-ов) вьщели его, щелкни правой кнопкой |
|
• |
• |
мыши и выбери команду Extract File (s). |
|
111---------------------------------------------------------------------------------- |
· |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
|
I |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
Разделm |
USB Device Attached содержит список USВ-устройств, которые когw Click |
|
|
|
|
|
|
m |
||||||||||||
|
|
|
|
|
|
|
|
|
|
||||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
||||
|
|
p |
|
|
|
|
да-либо подключались к компу (рис. 8.32). Мы исследуем тестовую систему, |
|
|
|
g |
|
|
|
|||||||||
|
|
|
|
|
|
g |
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
поэтому реальных устройств к ней не подключалось.
Рис. 8.32. Список подключавшихся к компьютеру USВ-устройств
Раздел E-mail Adresses содержит адреса электронной почты. Они находи лись на страницах, которые просматривал пользователь, возможно, он с ними контактировал, возможно - нет. Для каждого найденного адреса при водится источник - файл, в котором он был найден.
|
|
|
|
|
|
|
|
|
|
|
|
" х |
· |
|
|
|
- |
|
|
|
|
|
|
|
|
--- |
--tO |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
s-- |
|
|
|
(llt |
|
|
|
|
|
|
- |
|
...=(С |
|
|
|
|
|
|
|
|||||
-!. • |
|
|
|
|
|
|
|
|
|
|||
-- |
|
|
|
--- |
|
|
|
· |
=: |
|
||
..т. : |
|
|
|
|
|
|||||||
? ..... |
,. |
|
|
|
, |
|
|
|
|
|
|
|
q,--t4' |
|
|
|
|
|
|
||||||
... |
|
t - |
|
|
,_(.О |
|
|
|
|
|
|
|
|
r , м-u....•to |
|
||||||||||
|
|
1-, ..,,.___(4t# |
|
|
||||||||
|
t : =. cc |
|
|
|||||||||
------ |
r - |
-. |
to |
|
ш |
|
|
|||||
.. |
1 - t |
|
|
|
|
|
|
|||||
|
|
- :_.::;.:=,.{4 |
|
|
||||||||
- ----- |
f ( . |
|
___(-О |
N |
|
|
||||||
.. |
|
|
|
|
|
|
|
|||||
-------- |
|
t- |
|
|
|
(О |
(U |
|
|
|||
---- |
|
|
|
|
|
|
|
|
|
|
||
|
|
_,.......,, . N |
|
|
|
|
||||||
|
1 - , 1\) |
|
|
|
|
|
||||||
|
|
__.,.__u, |
|
|
|
|
|
|||||
|
- |
|
|
|
|
|
|
|
|
|||
<-- |
|
|
|
|
|
|
|
|
||||
|
|
r e.i. |
--.-1.0 |
|
|
|||||||
...... |
|
f |
|
|
,..__(Q |
|
|
|||||
|
|
.(.;,, -10 |
|
|
|
|
|
|||||
1.... .... |
|
:,'7Q,,. |
--»08'(0.-aa: |
|
|
• |
Рис. 8.33. Электронные адреса |
|
|
·----- |
"---------------------------------------------------------------------------- |